在勒索软件采用的技术上,黑客也关注加密程序的演化,目的就是为了可以快速回应安全企业的侦测。除此之外,对于AD的渗透方式,也是黑客关注的重点
以往勒索软件采用高强度的密钥,以加密受黑企业的文件,但现在勒索软件则改变加密方式,会以低强度的密钥加密企业文件后,再用高强度密钥(例如:RSA4096),去保护以快速算法、加密企业文件的低强度密钥(例如:ChaCha8或ChaCha20),“黑客改变加密方式,就可以达到在短时间内,加密最多文件的效果。”奥义智能共同创办人丛培侃说,如果遇到大文件,为了加密效率,不会把文件全部加密,而是会选择加密档头、中间、后面一点点区块的分段加密方式。
由于黑客进入受黑企业的计算机环境后,会启动环境检查,关闭资料恢复和杀毒的程序,也会用特殊方式解除系统锁定文件(Restart Manager),并通过程序加壳、混淆方式,增加勒索软件静态分析的难度,对黑客最便利的方式则是,会寻找本机挂载的网络驱动器,扫描SMB网络的其他主机。
勒索软件为了躲避安全产品的侦测,会无所不用其极的发挥猫抓老鼠的创意。丛培侃表示,他们观察到,有勒索软件会先强迫计算机重开机后,直接进入安全模式,因为一旦进入微软操作系统的安全模式后,许多安全防护系统都会被强制关闭,勒索软件就会趁此机会开始加密计算机文件。
丛培侃也发现其他闪躲侦测的方式,像是,有黑客不惜网络带宽,从外部发送一台虚拟机(VM)到受黑企业,勒索软件躲在虚拟机内规避侦测,因为企业要侦测虚拟机内的勒索软件,相对比较费工且成功率低,所以,勒索软件不需要变种,就可以借此躲避安全产品的侦查,然后,当企业打开该虚拟机后,勒索软件就会在VM内,将挂载到外面的磁盘机进行加密。他说,因为所有的防护措施在外部,根本侦测不到任何异常现象。
值得注意的是,勒索软件也会关注算法的安全性,他指出,要确认随机产生的函数是否安全,若以微软.NET为例,以往会使用简单的New Random作为密钥产生,但这种方式是比较容易遭到黑客破解的;所以现在黑客都改用RNGCryptoServiceProvider函数,或是签章程序。
另外,也要判断企业一旦支付赎金后,黑客是否真的可以解密。
丛培侃表示,早期勒索软件Petya的受黑者代号(Victim ID),是经过黑客以公钥(Public key)加密Salsa20 key在Base58的字符串,黑客可通过私钥解开,对企业用户而言,付赎金后可以获得解密私钥,资料安全获得保障。
不幸的是,Petya在某一次的改版后,因为受黑者代号改成随机产生,连加密的Salsa也是随机产生,因为受黑者代号和加密公钥两者没有任何关联,导致没有被保存在受黑者代码victim ID内而丢失,这就造成文件永无法解密。
勒索软件都通过取得AD服务器的主控权,才有办法快速在内部横向移动,达到快速扩散的效果,通常都会从黑客发送钓鱼邮件,然后企业用户用户点击钓鱼邮件后,黑客得以在企业内部安装后门程序,再进行内部横向移动。
因为AD服务器是黑客的滩头堡,黑客掌握AD服务器后,就会直捣AD密码文件,举例说明:NTDS.dit是AD服务器负责存储散列(Hash)的文件,微软有个工具是Ntdsutil,刚好可以去复制那个文件创建快照(Snapshot)偷出来,这样AD服务器上很多密码,就可以被黑客“爆破”出来了,如此也导致许多AD服务器的用户帐密外泄。文⊙黄彦棻